基于ASP网站的安全漏洞及防护策略研究

第２Ｏ卷第４期　河南广播电视大学学报　Ｖｏ１．２Ｏ．Ｎｏ．４　２００７年】０月　Ｊｏｕｒｎａｌ　ｏｆ　Ｈｅｎａｎ　Ｒａｄｉｏ＆ＴＶ　Ｕｎｉｖｅｒｓｉｔｙ　Ｏｃｔ．２ｏｏ７　基于ＡＳＰ网站的安全漏洞及防护策略研究　郜亚丽．许伟昶　（济源职业技术学院现代教育信息中心，河南　济源４５４６５０）　摘要：通过介￣ＡＳＰ￣／工作原理，分析了基＇Ｉ－ＡＳＰ￣网站服务器和程序语言方面常见的安全问题，给出了解决　这些问题的具体措施。　关键词：ＡＳＰ；安全漏洞；防护策略　中图分类号：ＴＰ３０９　文献标识码：Ａ　文章编号：１６７１—２８６２（２００７）０４—０ｌｌ２—０２　在Ｗｅｂ数据库访问的多种技术中．ＡＳＰ以其开发周期短、　访问提供的信息．Ｗｅｂ服务器必须是Ｉｎｔｅｌ３ｔｌｅｔ上的任何接入点　存取数据库方便、执行效率高而成为众多网站程序员的首选　都可以访问的．与其他诸如ＤＮＳ和ＦＴＰ等公共服务相比．Ｗｅｂ　开发技术。但是有些网站管理员只看到ＡＳＰ的快速开发能力．　对黑客高手更有诱惑力，如果被入侵，就会对网站造成很大影　却忽视了ＡＳＰ安全问题．因此如何保护Ｗｅｂ网站的安全是每　响。ＡＳＰ技术是建立在微软ＩＩＳ平台上的．而ＩＩＳ又建立在　一个Ｗｅｂ网站开发人员所面临的重要课题．本文通过对基于　ＷＩＮＤＯＷＳ　ＮＴ的基础之上。因此．Ｗｅｂ服务器的安全问题包含　ＡＳＰ技术的动态Ｗｅｂ网站工作原理的分析．探讨了基于ＡＳＰ的　两个层面：一个是构建ＷＷＷ　ＳＥＲＶＥＲ—ＩＩＳ．一个是最基础的　网站在服务器和源代码方面的漏洞．并给出了防范措施和对　基于ＷＩＮＤＯＷＳ　ＮＴ核心的操作系统平台　而这两个层面都不　策。　可避免地存在着很多漏洞．同时对他们不正确的配置可能会　一、ＡＳＰ的动态Ｗｅｂ网站工作原理　使得远程客户端的网站遭到非法操作。如执行不可执行文件。　一个典型的ＡＳＰ网站通常采，￣１ＩＩＳ＋ＭＳＳＱＬＳｅｒｖｅｒ或者ＩＩＳ＋　建立目录，对文件不设权限。造成某些文件被阅读、删除、修　Ａｃｃｅｓｓ的系统结构。这里，ＩＩＳ提供Ｗｅｂ服务，由ＳＱＬ　ＳＥＲＶＥＲ或　改。等等。　者Ａｃｃｅｓｓ提供数据库服务．客户机通过浏览器与Ｗｅｂ服务器　防范措施：（１）经常升级操作系统补丁和杀毒软件。（２）尽　交互获取信息．而Ｗｅｂ服务器把客户机的数据请求提交到　量不要安装不安全的组件。如不需要组件也能完成的。最好不　ＤａｔａｂａｓｅＭ￣务器．Ｄａｔａｂａｓｅ１］￣务器再把提取的数据传送给Ｗｅｂ　要安装组件：必须需要组件完成的，最好安装知名度高的组　服务器．最后Ｗｅｂ服务器通过浏览器显示结果给客户机．如图　件。（３）更改Ｉｎｔｅｒｎｅｔ信息服务默认Ｗｅｂ站点的主目录，多建虚　ｌ所示。从ＡＳＰ工作机理来看．ＡＳＰ￣Ｉ本是一系列按照特定语法　拟目录。主目录和虚拟目录不要建在系统盘上。（４）更改　格式编写的代码（目前支持ＶＢＳＣＲＩＰＴ和ＪＡＶＡＳＣＲＩｆｒｒ两种脚　Ｉｎｔｅｒｎｅｔ信息服务中网站的日志目录路径。（５）主目录或虚拟　本语言）与标准ＨＴＭＬ页面混合在一起的脚本所构成的文本　目录中只允许读取和记录访问权限，执行权限为纯脚本，应用　格式的文件．是一种非编译性语言。　程序保护设置为高。（６）设置默认Ｗｅｂ站点的操作员只有管理　Ｓ￣ｖｅｒ　员。　三、ＡＳＰ语言程序安全漏洞及防护措施　一一　１．ＳＱＬ￣ｉＡ．漏洞　ＳＱＬ注入的原理．就是从客户端提交特殊的代码．从而收　集程序及服务器的信息．获取想得到的资料。由于ＡＳＰ程序员　在编写程序时不规范．代码存在漏洞．动态生成Ｓｑｌ命令时没　图１　ＡＳＰ工作原理　有对用户输入的数据进行验证而受到攻击　黑客会利用特殊　由于ＡＳＰ程序采用非编译性语言．使得基于ＡＳＰ网站的安　查询语句。得到更多的数据表数据．甚至数据表的全部。　全包括两个方面：一是Ｗｅｂ服务器本身的安全，二是ＡＳＰ语言　比如：查询语句是ｓｅｌｅｃｔ＊ｆｒｏｍ　ａｄｍｉｎ　ｗｈｅｒｅ　ｕｓｅｒ＝“＇＆ｕｓｅｒ＆”’　程序的安全０；　ａｎｄｐａｓｓ＝“‘＆ｐｗｄ＆　，那么，如果我的ｕｓｅｒｎａｍｅ是：“张三”ｏｒ‘ｌ’：　二、Ｗｅｂ，ｑｉｔ．务器的安全漏洞及防范措施　ｌ，查询语句将会变成：Ｓｅｌｅｃｔ＊ｆｏｒｍ　ａｄｍｉｎｗｈｅｒｅ　ｕｓｅｒ＝‘张三’ｏｒ　Ｗｅｂ１］￣务器是Ｉｎｔｅｒｎｅｔ上最暴露的服务器　为了让用户群　‘ｌ’＝‘ｌ’ａｎｄ　ＤａｓＳ：…＆ｐｗｄ＆”。这样可以不用密码就通过了你　收稿日期：２００７—０６～２１　作者简介：郜亚丽（１９７５一），女，河南济源人，济源职业技术学院讲师，研究方向：多媒体和网络安全；许伟昶（１９７４～）。　男，河南济源人，济源职业技术学院讲师，研究方向：网络安全。　・１１２・　维普资讯 http://www.cqvip.com 的验证　或放存根目录“ＵＲＬ／”下。这样，只要敲入地址：“ＵＲｌＪｄａｔａｂａｓｅ／　防范措施：上面的代码应改为：ｓｅｌｅｃｔ＇ｆｒｏｍ　ａｄｍｉｎ　ｗｈｅｒｅ　ｓｔｏｒｅ．ｍｄｂ”．数据库就可以被下载　ｕｓｅｒｎａｎｌｅ＝‘“＆ｕｓｅｒ＆’　．ｉｆｎｏｔ（ｒｓ．ＢＯＦ　ｏｒ　ｒｓ．ｅｏｆ）ｔｈｅｎ　ｉｆｐａｓｓｗｏｒｄ＝ｒｓ（“ｐａｓｓｗｄ”）ｔｈｅｎ　．　防范措施．　（１）非常规命名法　为数据库文件名起个复杂的非常规的　名字拼把它放在几层目录下　比如对于网上书店的数据库．　这样只有用户　和密码完全输对才能通过验证　另外．编　写代码时在处理类似留言板、论坛等输入框的ＡＳＰ程序中．最　起个名称为ｓｗ５３ｌｘｈ．ｍｄｂ．冉把它放在如…／ｓｋｊｌｔ／ｄｅｇ４４／ｅｅｇｔ６５／　好屏蔽掉ＨＴＭＬ、ＪａｖａＳｃｒｉｐｔ、ＶＢＳｃｒｉｐｔｉ￣句．并且要对输入的字　ＪＬ层目录下．这样黑客要想通过猜的方式得到Ａｃｃｅｓｓ数据库　符进行限制，特别是一些特殊字符．比如单引号、双引号、分　文件就很难了　号、逗号、冒号、连接号等进行转换或者过滤，同时也应对输入　（２）使用ＯＤＢＣ数据源。在ＡＳＰ程序设计中，如果有条件．　应尽量使用ＯＤＢＣ数据源．不要把数据库名写在程序中　否　则，数据库名将随ＡＳＰ源代码的失密而一同失密。例如：　．的字符长度进行限制　而且要存客户端进行输入合法性检查．　同时要在服务器端程序中进行类似检查　２　２．木马漏洞　ＤＢＰａｔｈ＝Ｓｅｒｖｅｒ．ＭａｐＰａｔｈ（“…／ｓｋｊｌｔ／ｄｃｇ４４／ｅｅｇｔ６５／ｓｗ５３　ｌｘｈ．　ｃｏｎｎ．ｏｐｅｎ“ｄｒｉｖｅｒ＝｛ＭｉｃｒｏｓｏｆｔＡｃｃｅｓｓＤｒｉｖｅｒ（　．ｍｄｂ）｝；ｄｂｑ＝”　入侵者一般是通过ＡＳＰ程序上传功能的漏洞进入后台上　ｍｄｂ”）　传ＡＳＰ木马程序　当木马一旦上传上去就有可能取得网站的　管理权限，修改或删除文件、数据库，篡改网站的主页。　此　ＡＳＰ木马的防范也尤为重要　＆ＤＢＰａｔｈ　这样，在源程序中，ＡＣＣＥＳＳ数据库的名字一览无余．大大　降低了数据库的安全性　因此，建议在ＯＤＢＣ里设置数据源．　防范措施．　（１）建议用户通．￣ｆｔｐ来上传、维护网页，尽量不安装ＡＳＰ　再在程序中这样写：ｃｏｎｎ．ｏｐｅｎ＂ｙｏｕｒ－ｓｏｕｒｅｅ”。因为数据源只是　的上传程序　（２）对ＡＳＰ３￣传程序的调用一定要进行身份认证．并只允　许信任的人使用上传程序　（３）上传文件时，要限制文件的扩展名。比如：上传图片文　件时，设置为只能上传扩展名．ｊｐｇ或＊．ｇｉｆｌ￣Ｊ文件，拒绝上传扩　展名为．ａｓＤ或．ｅｘｅ的文件　（４）到正规网站下载ＡＳＰ程序．下载后要对其数据库名称　一个别名．用户无法通过这个名字知道你的数据库原名　［３＝　ｆ３）数据库名前加“＃”　在数据库文件名字的前面加上“＃”．然后修改数据库连接　文件（￣Ｈｃｏｎｎ．ａｓｐ）中的数据库地址。原理是下载的时候只能识　别＃号前面的部分，对于后面的自动去掉。比如要下载ｈｔｔｐ：／／　１９２．１６８．１．１５５／ｄａｔｅ／＃１２３．ｍｄｂ　无论是ＩＥ还是Ｆｌａｓｈｇｅｔ等下载的　都￣ｈｔｔｐ：／／１９２．１６８．１．１５５／ｄａｔｅ／ｉｎｄｅｘ．ｈｔｍ（ｉｎｄｅｘ．ｈｔｍ为ＩＩＳ设置的　首页文档）　四、结束语　和存放路径进行修改．数据库文件名称也要有一定复杂性　（５）１３常要多维护．经常查看存文件夹有没有不明的　．　ａｓｐ或　．ｅｘｅ文件．特别是放置上传文件的文件夹内．数据库中　有没有陌生的数据表。一旦发现被入侵．立即删除文件　综上所述．只要做好防范措施．基于ＡＳＰ开发的网站的安　全问题就可解决．但也不能因此而疏忽大意．还应该经常查阅　使网站更加安全　参考文献：　（６）要经常备份数据库、网页等重要文件．一旦被木马破　新技术，查看有关安全方面的资料，关注最新的漏洞和补丁．　坏．能及时还原．减少损失　（７）网站的后台也是非常关键的　不要在页面上作后台的　地址链接．这样后台地址不容易被猜解　网站后台的管理账号　密码不应过于简单．并且要使用附加码．　．３．Ａｃｃｅｓｓ数据库下载漏洞　［１］蔡勇，钱兆丰等．防毒反黑，就这么几招［Ｍ］．北京：中国电　力出版社．２００５．　在采用ＡＳＰ十Ａｃｃｅｓｓ技术建设的网站中．如果有人通过各　种方法获得或者猜到数据库的存储路径和文件名．则该数据　库就可以被下载到本地。例如：对于网上书店数据库，一般命　［２］赵淑霞，陈书平．基于ＡＳＰ构造交ＸＷｅｂ安全技术［Ｊ］．陕西　煤炭．２００４．（２）．　［３］张文增，林晓森等．ＡＳＰ网站安全研究［Ｊ］．计算机工程，　２００２，（３）．　名为ｂｏｏｋ．ｍｄｂ、ｓｔｏｒｅ．ｍｄｂ等。存储路径一般为“ＵＲＬ／ｄａｔａｂａｓｅ”　Ｓｔｕｄｙ　Ｂａｓｅｄ　ｏｎ　ＡＳ　Ｐ　Ｗｅｂｓｉｔｅ　Ｓａｆｅ　Ｌｅａｋｓ　ａｎｄ　Ｔａｃｔｉｃｓ　ｏｆ　Ｐｒｏｔｅｃｔｉｏｎ　Ｇａｏ　Ｙａｌｉ　，Ｘｕ　Ｗｅｉｃｈａｎｇ　（１．Ｓｃｈｏｏｌ　ａｄｍｉｎｉｓｔｒａｔｉｏｎ　ｏｆｆｉｅｅ　ｍｏｄｅｍ　ｅｄｕｃａｔｉｏｎ　ｉｎｆｏｒｍａｔｉｏｎ　ｃｅｎｔｅｒ　２．Ｊｉｙｕａｎ　Ｖｏｃａｔｉｏｎａｌ　ａｎｄ　Ｔｅｃｈｎｉｃａｌ　Ｃｏｌｌｅｇｅ，Ｊｉｙｕａｎ，Ｈｅｎａｎ，４５４６５０）　Ａｂｓｔｒａｃｔ：Ｂｙ　ｉｎｔｒｏｄｕｃｉｎｇ　ｔｈｅ　ｏｐｅｒａｔｉｎｇ　ｐｒｉｎｃｉｐｌｅ　ｏｆ　ＡＳＰ，ｔｈｉｓ　ｐａｐｅｒ　ｈａｖｅ　ａｎａｌｙｓｅｄ　ｃｏｌｎｌｎｏｎ　ｓａｆｅ　ｐｒｏｂ）ｅｍｓ　ｂａｓｅｄ　ｏｎ　ｔｈｅ　ＡＳＰ　ｗｅｂｓｉｔｅ　ｓｅｒｖｅｒ　ａｎｄ　ｐｒｏｇｒａｍ　ｌａｎｇｕａｇｅ，ａｎｄ　ｈａｖｅ　ｇｉｖｅｎ　ｃｏｎｃｒｅｔｅ　ｍｅａｓｕｒｅｓ　ｔｏ　ｒｅｓｏｌｖ　ｔｈｅｓｅ　ｐｒｏｂｌｅｍｓ．　Ｋｅｙ　ｗｏｒｄｓ＇：ＡＳＰ；Ｓａｆｅ　Ｌｅａｋｓ；Ｔａｃｔｉｃｓ　ｏｆ　Ｓａｆｅ　Ｂｅｉｎｇ　ｏｎ　Ｇｕａｒｄ　・１１３・